赞
踩
弱口令也是安全漏洞的一种,是指系统登录口令的设置强度不高,容易被攻击者猜到或破解。
造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形式包括:系统出厂默认口令没有修改;密码设置过于简单,如口令长度不足,单一使用字母或数字;使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口令;设置的口令属于流行口令库中的流行口令。
破解成功后即可获取合法用户的权限,从而能够查看用户的敏感信息,还有可以进行钓鱼等操作
甚至可以破解管理员的密码从而能够拿到管理员的权限,通过查找网站是否还有其它危害较大的漏洞,进而控制整个站点
批量获取用户账号密码,对网站以及用户造成较大威胁,进入网站后,有多种攻击手法,具体问题具体分析
可以重置或者修改用户的账号密码等信息
1.基本介绍
Hydra是著名黑客组织thc的一款开源的暴力破解密码的工具,可以对多种服务的账号和密码进行爆破,包括web登录、数据库、SSH、FTP、RDP等服务,支持linux、windows、mac平台安装,其中kali linux自带hydra。Hydra 是一个密码破解工具。它可以在多个网络服务器之间分布式地运行,以提高破解密码的效率。Hydra 通常用来破解网络系统的用户名和密码,以便访问这些系统
2.工具特点:
1.支持多种操作系统, linux、windows、mac平台均可安装。
2.kali自带的密码爆破工具。
Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架
使用BurpSuite的intruder模块,可以对网站的登录框进行爆破测试
抓到包后,右键发送到intruder模块
添加$到需要爆破的字段然后在payload处设置要爆破的字典
点击右上角的start attack按钮即可开始爆破,可以根据返回的长度(或者状态码)来判断是否爆破成功
4种攻击模式
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。